host-headers

IIS 工作进程和主机标头
host-headers

IIS 工作进程和主机标头

我正在 ASP.net 中构建一个多租户网站。它将具有三个主机标头。 我的理解是,当请求到达 www.siteA.com 时,ISS 将为应用程序启动一个工作进程。 但是当对网站 www.siteB.com 的请求到来时会发生什么呢?它会是同一个工作进程吗?还是会启动一个新的工作进程? ...

Admin

htaccess 阻止主机头注入
host-headers

htaccess 阻止主机头注入

我在 XAMPP 上托管了一个应用程序,我的应用程序 URL 是https://abc.example.com/pps/prd/我在 pps/prd/ 有一个 htaccess 文件,其中有以下代码可以阻止主机头注入 RewriteEngine On RewriteCond %{HTTP_HOST} !^([a-zA-Z0-9-_]{1,20}.){0,3}example.com$ RewriteRule ^ - [F] 当我点击网址时https://abc.example.com/pps/prd/请求标头中包含一些其他主机。它按预期工作,我收到来自服务器...

Admin

在 IIS10 上,主机名绑定不适用于通配符(全部)IP 地址
host-headers

在 IIS10 上,主机名绑定不适用于通配符(全部)IP 地址

我正在尝试在 IIS10 上配置站点绑定。 我希望能够在相同的端口上运行多个站点,并通过主机头区分这些站点。 由于某种原因,除非还选择了特定的接口,否则 IIS 似乎无法解析主机名绑定。 我之前以类似的方式在 IIS 7.5 和 8.5 上配置了网站,因此我无法解释我看到的行为。 我建立了一个新网站,其中只有一个“hello world”html文档,以尝试隔离我的问题。该网站运行在任何其他网站都没有使用的端口上。 仅当我指定接口时,主机名绑定才会有效。 类型 主机名 IP地址 港口 作品? http * 30080 是的 http 主...

Admin

HTTP_HOST 标头无效。NGINX 配置无法阻止来自 IP 端口扫描器的 localhost 无效标头影响 django
host-headers

HTTP_HOST 标头无效。NGINX 配置无法阻止来自 IP 端口扫描器的 localhost 无效标头影响 django

我的服务器出现无效主机头错误,我不确定如何解决它。 错误请求 URL 为https://127.0.0.1:8000显而易见的建议是将 localhost 添加到我的(使用 django)允许的主机中。但是,我读到过,在生产环境中将 localhost 保留在允许的主机中是一种不好的做法,并且可能存在安全漏洞。目前,我在生产环境中允许的主机仅限于我注册的域。 我做了一些调查,发现这些请求似乎来自 IP 端口扫描器。在电子邮件报告中,我有时可以在 HTTP_USER_AGENT 中看到指向此类扫描器存储库的 GitHub 链接。HTTP_X_FORWARDED...

Admin

测试实验室中的主机头注入
host-headers

测试实验室中的主机头注入

尝试查看服务器(在测试实验室中)是否容易受到主机头注入攻击。在第二种情况下,我将主机头插入为“www.cow.com”,仍然得到 302 Found。这是否意味着该服务器容易受到主机注入攻击?如果不是,我会看到 404 not found 吗? 场景 1: kali01:~$ curl -v http://10.10.10.10/login.html * Trying 10.10.10.10:80... * TCP_NODELAY set * Connected to 10.10.10.10 (10.10.10.10) port 80 (#0) &g...

Admin

证书 SNI 和 IIS 主机标头
host-headers

证书 SNI 和 IIS 主机标头

上下文:配置了主机名标头和 TLS 证书的 IIS 网站。 当客户端发起与指定站点的连接时,这是正确的流程吗? 客户端(浏览器)执行 DNS 查找 与服务器建立 TCP 连接 客户端(浏览器)构建 TLS 有效负载,其中包括 SNI(即站点名称),并开始与服务器握手 服务器在其站点绑定证书列表中查找具有指定名称的证书并响应 一旦建立 TLS,IIS 网络服务器就会使用 HOST 标头值将 HTTP 请求路由到特定站点。 根据我的理解,SNI 是服务器查找站点证书的基本信息。 如果在 TLS 握手之后我实际修改了 HTTP Host 标头以定位其他网站,会...

Admin

SSL 上是否需要 Host: 标头?
host-headers

SSL 上是否需要 Host: 标头?

即使请求不是 HTTP/1.1,SSL 上是否也需要 Host:标头? 因此,如果客户端通过 SSL 连接并发送以下请求: GET / HTTP/1.0 由于缺少 Host: 标头,Web 服务器是否应该抛出错误请求? Web 服务器是否应使用 HTTP/1.0 200 OK 响应进行响应? (index.html 文件始终存在,因此对/,绝不会导致 403/404) 更新: 如果我在中禁用 SNI openssl s_client,则 apache 无需 Host: 标头即可工作。 为什么 SNI 开启时需要 Host: 标头? ...

Admin

如何预防Nginx代理服务器中的“主机头注入漏洞”
host-headers

如何预防Nginx代理服务器中的“主机头注入漏洞”

请帮助我防止给定的“主机头注入漏洞”Nginx 配置文件“ server { listen 80 default_server; listen [::]:80 default_server; root /var/www/html; index index.html index.htm index.nginx-debian.html; server_name _; location / { pr...

Admin

应用了 UseCanonicalName 但请求标头的主机仍然没有改变
host-headers

应用了 UseCanonicalName 但请求标头的主机仍然没有改变

我遇到了网站重定向问题,我发现我的 rewritecond 输入 = 'www.example.com' 和我的请求标头主机 = 'example.com'。因此,我尝试在 vhost 中应用 UseCanonimalName On,其中我的 ServerName 定义为 'www.example.com',希望当两者匹配时,我的网站重定向会发生,但不幸的是它没有发生,并且我的请求标头中的主机仍然保持为 'example.com'。我参考这和这去做吧。 以下是我的httpd-vhost.conf: <VirtualHost *:80> ...

Admin

配置 HAProxy 以包含不同后端的主机标头
host-headers

配置 HAProxy 以包含不同后端的主机标头

我正在探索使用 HAProxy 作为在 IIS 上运行的一组 Web API 前面的平衡器。 node1.myapp.mycompany.com node2.myapp.mycomapny.com 我们目前使用主机标头来正确解析 IIS 上的正确 Web 应用程序。例如,我们可能在同一服务器/端口上运行 otherapp.mycompany.com,但使用主机标头 IIS 知道要提供哪一个。 我最初尝试使用 HAProxy 时出现 404 错误,因为我的请求中没有包含主机标头,因此 IIS 返回绑定到给定 IP 的默认站点,而不是通过主机名解析。 ...

Admin

使用单个 IP 和 pfSense 发布不同的网站 - Squid
host-headers

使用单个 IP 和 pfSense 发布不同的网站 - Squid

我对 pfSense 还很陌生,所以请耐心等待。 总结一下,我有: 启用了拆分 DNS 的网络。 单个 IIS Web 服务器具有单个 IP,不同的站点使用通过端口 80 绑定的不同主机头运行,所有站点均可供内部用户正常使用。 pfSense 2.3.4-RELEASE-p1 与 Squid 0.4.40 安装在网络边缘。 我所看到的如下图所示: 我想要实现的目标: 使用相同的内部 URL 向外部用户发布内部网站。 不需要透明代理(用于内部缓存和 CalmAV)和 HTTPS。 我读到 pfSense 可以使用反向代理来实现这个技巧...

Admin

debian nginx 1.10.3 防止标头注入
host-headers

debian nginx 1.10.3 防止标头注入

我有一个运行 nginx 1.10.3 的 debian 8 VPS。 我托管了几个 Symfony 3.2 网站(使用 php7-fpm),并且遇到了标头注入问题。我不知道问题出在 nginx 还是 symfony 项目配置上。 我暂时没有使用任何 LoadBalancer,例如 Varnish 或 Amazon AWS。 当有人使用无效的请求发送时,X-Forwared-Host例如: X-Forwarded-Host: pg_sleep(2) 然后它收到一个500 Internal Server Error,我可以在日志中看到一个严重错误: ...

Admin

根据一个网络适配器上的主机头确定将请求转发到虚拟机环境中的哪个服务器
host-headers

根据一个网络适配器上的主机头确定将请求转发到虚拟机环境中的哪个服务器

正如问题标题所述:我正在尝试弄清楚如何根据所述请求的主机标头来辨别将网络流量传递给哪个 Web 服务器。我正在使用主机服务器上的一个网络适配器,我的所有客户操作系统都共享该适配器。这种设置既是出于必要(我可用的硬件有限),也是出于我想学习该技术的愿望,以便尽可能多地利用我的组件。 有人知道如何在同一个 ESXi 环境中实现这一点吗? ...

Admin

HTTP HOST 标头中包含端口号会导致服务不可用错误
host-headers

HTTP HOST 标头中包含端口号会导致服务不可用错误

我们有一个在 HTTPS 上运行的 WebService。如果我使用 SOAPUI 并在以下位置发出请求:https://testservice.mydomain.com/WcfService.svc,一切正常。但是客户报告他们收到 503 服务不可用错误。 在他们的 HTTP 中主持人标头我看到的是 --> testservice.mydomain.com:443。 为了复制该标头,我创建了一个测试 C# 客户端,并手动设置 HOST 标头以在请求中包含 443 端口。我收到相同的错误,并且 IIS 网站日志中没有任何记录。同样,在 SOAPUI ...

Admin

防止 AWS 负载均衡器在 IP 地址上提供服务
host-headers

防止 AWS 负载均衡器在 IP 地址上提供服务

我已经为我的网站配置了 Amazon Webservices 负载均衡器。 一切都很好,域名解析为负载均衡器端点的 IP 地址,并且在内部 LAN 上它与我的两个前端 Web 服务器进行通信。 我注意到,在网站管理员工具中,Google 已获取负载均衡器的 IP,并在使用主机名时在该 IP 地址上为网站提供服务。 例如 54.76.xx 如果是 IIS,我可以使用主机头设置来阻止它在 IP 上提供服务,但在 AWS 管理面板中似乎无法控制这一点? ...

Admin